Dostaję pytania od ludzi zaniepokojonych przypadkami nieautoryzowanych transakcji przeprowadzanych skradzionymi kartami zbliżeniowymi. Nie ukrywam, że problem jest dość poważny, bo w przypadku kradzieży karty Visa z opcją zbliżeniową istniejąca technologia praktycznie nie chroni przed nadużyciami.
Mechanizm jest taki:

  1. złodziej kradnie kartę,
  2. złodziej lub paser znajduje terminal zbliżeniowy, najlepiej niepołączony z systemem (takimi terminalami są niektóre automaty sprzedaży biletów),
  3. złodziej realizuje wielokrotnie drobne transakcje, maksymalnie po 49zł każda,
  4. ponieważ transakcje nie są autoryzowane online, w praktyce nie ma możliwości zadziałania żadnego z ograniczeń, ani ilościowego, ani kwotowego (sprawdziłem osobiście),
  5. transakcje nie pojawiają się w blokadach, gdyż żadna blokada nie jest zakładana – transakcja jest księgowana w momencie spływu informacji z terminala płatniczego, co następuje najczęściej wieczorem. Klient w najlepszym wypadku widzi ją następnego dnia.
  6. odszkodowanie z banku jest bardzo, ale to bardzo trudne do uzyskania, pojawia się problem udziału własnego (zazwyczaj 150 Euro). W wielu bankach można kupić ubezpieczenie karty płatniczej, ale jest to jedynie obejście problemu kosztem klienta, a nie podwyższenie bezpieczeństwa samych transakcji,
  7. złodziej jest praktycznie bezkarny, gdyż nielegalne transakcje są realizowane na niewielką kwotę, a wykrywalność takich przestępstw jest niemalże zerowa. Niektórych ludzie nawet nie zgłaszają, gdyż nie wierzą w schwytanie złodzieja i odzyskanie pieniędzy.

Bardzo niewiele banków wydających karty MasterCard Paypass decyduje się na włączenie flagi wymuszającej za każdym razem uwierzytelnienie on-line, jeśli mnie pamięć nie myli, w kartach Visa Paywave w ogóle nie ma opcji wymuszenia uwierzytelnienia online.

Dlaczego jest to niebezpieczna opcja?

Bo nie działa żadne z popularnych zabezpieczeń, takich jak:

  1. kod PIN,
  2. kontrola online, porównanie z listą kart zastrzeżonych,
  3. limity ilościowe transakcji bezgotówkowych,
  4. limity kwotowe jednorazowe i dzienne,
  5. powiadomienie o nowych transakcjach na karcie płatniczej przez wiadomości SMS,
  6. wypłata tylko do wysokości salda (można nawet w ten sposób zrobić sobie niedozwolony debet, co skutkuje kosztownymi karami i automatycznie psuje historię kredytową klienta),
  7. detekcja nadużyć działająca na zasadzie geolokalizacji (jeśli ktoś realizuje transakcje z paskiem magnetycznym w Warszawie i 15 minut później bezstykową w Krakowie, to oznacza, że co najmniej jedna z nich jest fraudem),
  8. inne metody wykrywania fraudów stosowane czasami przez banki.

Po staremu

Jedynym sposobem na poprawę bezpieczeństwa własnych pieniędzy jest wybranie karty bez opcji zbliżeniowej (prawie niemożliwe, dziś banki forsują nowy standard) lub wyłączenie opcji bezstykowej. Niestety dla klienta „nie ma możliwości wyłączenia takiej opcji” przez bank (sprawdzałem w obsłudze klienta w mBanku), a zatem należy kartę w taki sposób uszkodzić, by mikroprocesor odpowiedzialny za transakcje kontaktowe działał normalnie, ale transakcje bezstykowe nie były realizowane. Należy zatem uszkodzić antenę, przecinając kartę w odpowiednio wybranym miejscu. Na poniższych zdjęciach przedstawiam dwie karty płatnicze razem z oznaczonym na czerwono miejscem delikatnego cięcia (skalpel, żyletka). Klik powiększa zdjęcie.


Anteną w karcie bezstykowej jest zwój z kilku linii z przewodzącego materiału. Aby zobaczyć jak ułożona jest antena w twojej karcie, użyj bardzo silnego światła. Ja skorzystałem z lampy metalohalogenkowej o mocy 150W (12,5 tysiąca lumenów) oraz kartonowej przesłony.

Zaufanie do banku? Wolne żarty!

Dopóki bank nie będzie obligatoryjnie zmuszony do tego, by bez żadnego dodatkowego ubezpieczenia brał na siebie odpowiedzialność za wszystkie transakcje zbliżeniowe od zgłoszenia kradzieży, nie przyjmuję żadnych argumentów związanych z rzekomym „wystarczającym” zabezpieczeniem zbliżeniowych kart płatniczych. Problem dałoby się bardzo prosto obejść przez kontrolę online każdej transakcji, nawet jeśli byłaby zrealizowana bezstykowo, bez kodu PIN. Transakcje odbywają się wtedy nieco wolniej, ale działają wszystkie wymienione wyżej zabezpieczenia poza pierwszym. Można także wymusić uwierzytelnienie kodem PIN w co drugiej transakcji, dzięki czemu złodziejowi udałoby się zrealizować tylko jedną „lewą” transakcję.

Nie przyjmuję również argumentów, że nie można wyłączyć opcji zbliżeniowej na życzenie klienta. Można, wystarczy zablokować tę aplikację w kartach Gemalto, technicznie jest to możliwe nawet w bankomacie, na życzenie klienta, tak samo, jak zmiana kodu PIN.
Z niecierpliwością oczekuję porządnie zrealizowanych kart na bezpiecznej platformie, takiej jak na przykład Multos.

Zagadnieniom bezpieczeństwa transakcji kartami płatniczymi poświęciliśmy niejeden artykuł, na temat kart Multos pisaliśmy w CW03/2010, wspominaliśmy je także przy okazji projektu nowego dowodu osobistego (CW22/2011). Szczegóły od strony konsumenta można przeczytać w blogu Macieja Samcika http://samcik.blox.pl/2013/02/Zblizeniowa-zalamka-78-zlodziejskich-transakcji.html.